返回列表 回復 發帖

什麼是防火牆 如何購買防火牆1

什麼是防火牆 如何購買防火牆
1.什麼是防火牆?

  防火牆是一個或一組系統,它在網路之間執行訪問控制策略。實現防火牆的實際方式各不相同,但是在原則上,防火牆可以被認為是這樣一對機制:一種機制是攔阻傳輸流通行,另一種機制是允許傳輸流通過。一些防火牆偏重攔阻傳輸流的通行,而另一些防火牆則偏重允許傳輸流通過。瞭解有關防火牆的最重要的概念可能就是它實現了一種訪問控制策略。如果你不太清楚你需要允許或否決那類訪問,你可以讓其他人或某些產品根據他(它)們認為應當做的事來配置防火牆,然後他(它)們會為你的機構全面地制定訪問策略。

2.為何需要防火牆?

  同其他任何社會一樣,Internet也受到某些無聊之人的困擾,這些人喜愛在網上做這類的事,像在現實中向其他人的牆上噴染塗鴉、將他人的郵箱推倒或者坐在大街上按汽車喇叭一樣。一些人試圖通過Internet完成一些真正的工作,而另一些人則擁有敏感或專有數據需要保護。一般來說,防火牆的目是將那些無聊之人擋在你的網路之外,同時使你仍可以完成工作。

  許多傳統風格的企業和數據中心都制定了計算安全策略和必須遵守的慣例。在一家公司的安全策略規定數據必須被保護的情況下,防火牆更顯得十分重要,因為它是這家企業安全策略的具體體現。如果你的公司是一家大企業,連接到Internet上的最難做的工作經常不是費用或所需做的工作,而是讓管理層信服上網是安全的。防火牆不僅提供了真正的安全性,而且還起到了為管理層蓋上一條安全的毯子的重要作用。

  最後,防火牆可以發揮你的企業駐Internet“大使”的作用。許多企業利用其防火牆系統作為保存有關企業產品和服務的公開信息、下載檔、錯誤修補以及其他一些檔的場所。這些系統當中的幾種系統已經成為Internet服務結構(如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com)的重要組成部分,並且給這些機構的贊助者帶來了良好的影響。

3.防火牆可以防範什麼?
  
  一些防火牆只允許電子郵件通過,因而保護了網路免受除對電子郵件服務攻擊之外的任何攻擊。另一些防火牆提供不太嚴格的保護措施,並且攔阻一些眾所周知存在問題的服務。

  一般來說,防火牆在配置上是防止來自“外部”世界未經授權的互動式登錄的。這大大有助於防止破壞者登錄到你網路中的電腦上。一些設計更為精巧的防火牆可以防止來自外部的傳輸流進入內部,但又允許內部的用戶可以自由地與外部通信。如果你切斷防火牆的話,它可以保護你免受網路上任何類型的攻擊。

  防火牆的另一個非常重要的特性是可以提供一個單獨的“攔阻點”,在“攔阻點”上設置安全和審計檢查。與電腦系統正受到某些人利用數據機撥入攻擊的情況不同,防火牆可以發揮一種有效的“電話監聽”(Phone tap)和跟蹤工具的作用。防火牆提供了一種重要的記錄和審計功能;它們經常可以向管理員提供一些情況概要,提供有關通過防火牆的傳流輸的類型和數量以及有多少次試圖闖入防火牆的企圖等等資訊。

4.防火牆不能防範什麼?

  防火牆不能防範不經過防火牆的攻擊。許多接入到Internet的企業對通過接入路線造成公司專用數據數據洩露非常擔心。不幸得是,對於這些擔心來說,一盤磁帶可以被很有效地用來洩露數據。許多機構的管理層對Internet接入非常恐懼,它們對應當如何保護通過數據機撥號訪問沒有連慣的政策。當你住在一所木屋中,卻安裝了一扇六英尺厚的鋼門,會被認為很愚蠢。然而,有許多機構購買了價格昂貴的防火牆,但卻忽視了通往其網路中的其他幾扇後門。要使防火牆發揮作用,防火牆就必須成為整個機構安全架構中不可分割的一部分。防火牆的策略必須現實,能夠反映出整個網路安全的水準。例如,一個保存著超級機密或保密數據的站點根本不需要防火牆:首先,它根本不應當被接入到Internet上,或者保存著真正秘密數據的系統應當與這家企業的其餘網路隔離開。

  防火牆不能真正保護你防止的另一種危險是你網路內部的叛變者或白癡。儘管一個工業間諜可以通過防火牆傳送資訊,但他更有可能利用電話、傳真機或軟碟來傳送資訊。軟碟遠比防火牆更有可能成為洩露你機構秘密的媒介!防火牆同樣不能保護你避免愚蠢行為的發生。通過電話洩露敏感資訊的用戶是社會工程(social engineering)的好目標;如果攻擊者能找到內部的一個“對他有幫助”的雇員,通過欺騙他進入數據機池,攻擊者可能會完全繞過防火牆打入你的網路。

5.防火牆能否防止病毒的攻擊?

  防火牆不能有效地防範像病毒這類東西的入侵。在網路上傳輸二進位檔的編碼方式太多了,並且有太多的不同的結構和病毒,因此不可能查找所有的病毒。換句話說,防火牆不可能將安全意識(security-consciosness)交給用戶一方。總之,防火牆不能防止數據驅動的攻擊:即通過將某種東西郵寄或拷貝到內部主機中,然後它再在內部主機中運行的攻擊。過去曾發生過對不同版本的郵件寄送程式和幻像腳本(ghostscript)和免費PostScript閱讀器的這類攻擊。

  對病毒十分憂慮的機構應當在整個機構範圍內採取病毒控制措施。不要試圖將病毒擋在防火牆之外,而是保證每個脆弱的桌面系統都安裝上病毒掃描軟體,只要一引導電腦就對病毒進行掃描。利用病毒掃描軟體防護你的網路將可以防止通過軟碟、數據機和Internet傳播的病毒的攻擊。試圖禦病毒於防火牆之外只能防止來自Internet的病毒,而絕大多數病毒是通過軟碟傳染上的。

  儘管如此,還是有越來越多的防火牆廠商正提供“病毒探測”防火牆。這類防火牆只對那種交換Windows-on-Intel執行程式和惡意宏應用文檔的毫無經驗的用戶有用。不要指望這種特性能夠對攻擊起到任何防範作用。


6.在防火牆設計中需要做哪些基本設計決策?

  在負責防火牆的設計、制定工程計畫以及實施或監督安裝的幸運兒面前,有許多基本設計問題等著他去解決。


首先,最重要的問題是,它應體現你的公司或機構打算如何運行這個系統的策略:安裝後的防火牆是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,或者,安裝就緒的防火牆是為以非威脅方式對“魚貫而入”的訪問("queuing" access)提供一種計量和審計的方法。在這些選擇中存在著某種程度的偏執狂;防火牆的最終功能可能將是行政上的結果,而非工程上的決策。

  第二個問題是:你需要何種程度的監視、冗餘度以及控制水準?通過解決第一個問題,確定了可接受的風險水準(例如你的偏執到何種程度)後,你可以列出一個必須監測什麼傳輸、必須允許什麼傳輸流通行以及應當拒絕什麼傳輸的清單。換句話說,你開始時先列出你的總體目標,然後把需求分析與風險評估結合在一起,挑出與風險始終對立的需求,加入到計畫完成的工作的清單中。

  第三個問題是財務上的問題。在此,我們只能以模糊的表達方式論述這個問題,但是,試圖以購買或實施解決方案的費用多少來量化提出的解決方案十分重要。例如,一個完整的防火牆的高端產品可能價值10萬美元,而低端產品可能是免費的。像在Cisco或類似的路由器上做一些奇妙的配置這類免費選擇不會花你一分錢,只需要工作人員的時間和幾杯咖啡。從頭建立一個高端防火牆可能需要幾個人工月,它可能等於價值3萬美元的工作人員工資和利潤。系統管理開銷也是需要考慮的問題。建立自行開發的防火牆固然很好,但重要的是使建立的防火牆不需要費用高昂的不斷干預。換句話說,在評估防火牆時,重要的是不僅要以防火牆目前的費用來評估它,而且要考慮到像支持服務這類後續費用。

  出於實用目的,我們目前談論的是網路服務提供商提供的路由器與你內部網路之間存在的靜態傳輸流路由服務,因此基於為一事實,在技術上,還需要做出幾項決策。傳輸流路由服務可以通過諸如路由器中的過濾規則在IP層實現,或通過代理網關和服務在應用層實現。
返回列表